かつては平文がそのままネット上に流れ、のぞき見や改ざんされ放題?だった電子メール。最近では、途中経路の暗号化が進められています。とは言え、世界のすべてのメールサーバーが暗号化に対応しない限りは、end-to-end(出発点から到達点まで)で安全が担保されないので、こうしたリスクは依然として存在したままです。
広く普及しているGmailについては、ユーザーとGmailサーバー間は暗号化されています。しかし、送り先のメールアドレスが、暗号化に対応していない古いメールサーバーだと結局、漏えいポイントができてしまいます(これはGoogleの責任ではありませんが)。
そこで、「電子署名S/MIMEの技術を使って、本文そのものを暗号化できるようにする」というのがこの記事の狙いです。
WEBメールとS/MIMEは相性が悪い
さっそくがっかりな😞話ですが、S/MIMEとGmailなどのWEBメールはすこぶる相性が悪いです。S/MIMEは、メールアドレスを証明する「SSL証明書」の鍵をローカル環境に保存して使うことが前提となっています。ですから、S/MIMEが利用できるメーラーは、下にあげる通り、主にデスクトップやスマホなどにインストールして使うアプリが中心です。
S/MIME対応メーラの一例
- iOSの標準メーラー(iPhone,iPadなど)
- MacOSの標準メーラー
- Outolook2013
- Windowsメール など
(S/MIME自体は古くからある手法なので、対応メーラーはほかにもたくさんあります)
ところで、「S/MIMEなんて知らないよ!」という方。銀行から送られてくる大事なメールに、鍵マークが表示されていたり、「smime.p7s」という添付ファイルが付いていたりした経験はありませんか?これが、S/MIMEで署名されたメールです。
送信元がはっきりしているので、フィッシングメールでないことが分かる仕組みです。S/MIMEに対応してないメーラは、署名データを「smime.p7s」という添付ファイルとして扱います。この添付ファイルを開いても署名の確認はできず、事実上WEBメールでS/MIMEは使えないケースがほとんどです。
Chromeプラグインを導入する
こうした相性の悪さを克服して、Chromeブラウザーの拡張機能として、GmailでS/MIMEを扱えるようにするものがいくつかあります。ただ、開発がストップしていて、今では動かないものがほとんどです。唯一、2016年に新しく登場した「Fossa Guard」というプラグインが、筆者が動作を確認できたプラグインです。
Chrome拡張機能で「S/MIME」を検索するとヒットする
Fossa Guardの仕組み
Fossa Guardのオフィシャルページによると、ブラウザ内の保存領域に証明書を置きます。これは、グーグルの同期技術によってほかのデバイスでChromeを開いても使えます。秘密鍵はさらに、自由に設定できるパスフレーズで守られていて、署名・暗号化のたびにこのパスフレーズを入力して使います。
FossaGuardの仕組み(公式ページより引用)
無料の証明書ですぐに始められる
Fossa Guardを使うのにユーザー登録は必要はありません。Googleのアカウントでサインインして、画面の指示に従えばすぐに電子メール用の証明書が無料で発行され、利用の準備が整います。(現在はベータ期間のため、証明書の期限は3か月と短めです)
Hi there!
Nice to know that you’ve tried FossaGuard extension.
We are working on next release with certificate revocation, re-enrollment – it will help to re-issue Fossa certificates.
We continue to keep Fossa S/MIME certificates free for personal use.